關於使用者認證策略的問題
我目前正在重做我公司的 IT 基礎架構。它目前到處都是,所以我正試圖從頭開始重新組織一切。我想我要解決的第一件事是中央使用者管理和身份驗證,以及良好的密碼安全性和管理。
我們有不到 10 名員工,大多數使用 Mac,但少數使用 Windows PC。我們有一個用作中央文件共享的 SAN。目前,每個使用者只有一個用於登錄其電腦的密碼,以及一個用於登錄文件共享的使用者名和密碼。此外,我們的密碼安全和管理可以通過升級來完成,因為我們目前不使用密碼管理器或任何其他類似系統。
經過大量研究,我計劃推出以下內容:
- 在我們的現場伺服器上設置 OpenLDAP 以處理使用者管理和身份驗證。
- 設置員工電腦以使用 LDAP 進行身份驗證。看起來這是 OSX 內置的,對於 Windows ,我應該使用http://pgina.org/ 。
- 為所有員工設置 LastPass,只允許通過 SSO 登錄並將身份驗證傳回我們的現場伺服器。
通過這種方式,我們獲得了網站密碼管理器,因此我們可以實施良好的密碼管理和安全性、強大的身份驗證措施來訪問密碼管理器、管理使用者帳戶以及從中央位置訪問所有登錄名和密碼。
首先,這聽起來像是一個好計劃嗎?還有其他選擇嗎?
其次,我在將第三方 Web 應用程序連接到 OpenLDAP 方面有點卡住。我知道大多數提供商(包括 LastPass)使用 SAML 進行 SSO/聯合訪問,但我不知道如何設置它。OpenLDAP 是否支持 SAML 身份驗證?如果我想啟用 MFA(可能包括移動驗證器和/或 Yubikeys)怎麼辦?
我猜我可能需要 OpenLDAP 前面的另一個軟體來處理 SAML/MFA/Yubikey/etc,然後從 OpenLDAP 中查找使用者詳細資訊,但我不知道我在搜尋什麼並沒有發現任何東西。
編輯:當然,我的搜尋在發布後立即發現了一些東西!我應該使用 CAS ( https://apereo.github.io/cas ) 進行基於 Web 的 SAML 身份驗證嗎?看起來這將允許我處理基於 Web 的登錄並通過 LDAP 目錄對其進行身份驗證。
你應該看看Univention Corporate Server。這是一個基於 linux 的發行版,提供 LDAP、Active Directory(通過 Samba 4)、SAML 和許多其他第三方應用程序。在 Univention Corporate Server 上使用privacyIDEA,您還可以在您的網路中設置 2FA。
由於 UCS 提供了 Active Directory,因此您可以連接所有 Windows 客戶端。因此,您無需註冊 pGina。由於 UCS 還提供 simpleSAMLphp,因此您還可以將 SSO/SAML 與外部應用程序一起使用——即使是 2FA。